恶意软件演进
活跃于macOS平台的MacSync Stealer信息窃取木马出现显著升级,已有用户资产被盗。其传播手法从早期依赖“拖拽到终端”等低门槛诱导,升级为使用经过代码签名并通过苹果公证(notarized)的Swift应用程序,隐蔽性大幅提升。
传播方式与伪装
- 该样本以名为
zk-call-messenger-installer-3.9.2-lts.dmg的磁盘镜像传播,伪装成即时通讯或工具类应用。 - 新版本无需用户执行终端命令,而是由内置的Swift辅助程序自动从远程服务器拉取并执行编码脚本,完成信息窃取。
隐蔽性增强
- 恶意程序已完成代码签名(开发者团队ID:GNJLS3UYZ4),且相关哈希在分析时未被苹果吊销。
- 这使得它在macOS默认安全机制下具有更高“可信度”,更容易绕过用户警惕。
- 其DMG文件体积异常偏大,内含LibreOffice相关PDF等诱饵文件,以进一步降低用户怀疑。
主要威胁与风险
此类木马主要窃取目标为:
- 浏览器数据
- 各类账户凭据
- 加密钱包信息(私钥、助记词等)
随着恶意软件开始系统性滥用苹果的签名与公证机制,macOS加密资产用户面临的钓鱼攻击与私钥泄露风险正在显著上升。
